Successfully reported this slideshow.

QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

4

Share

1 of 26
1 of 26

QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

4

Share

Работа с трафиком в мобильных проектах имеет свою специфику и подводные камни. Используя один из самых функциональных снифферов - Burp Suite, я покажу на реальных примерах, как перехватывать трафик, анализировать содержимое запросов и ответов и модифицировать их под свои нужды. Минимум слайдов, максимум screen sharing'а

Работа с трафиком в мобильных проектах имеет свою специфику и подводные камни. Используя один из самых функциональных снифферов - Burp Suite, я покажу на реальных примерах, как перехватывать трафик, анализировать содержимое запросов и ответов и модифицировать их под свои нужды. Минимум слайдов, максимум screen sharing'а

More Related Content

More from QAFest

Related Books

Free with a 14 day trial from Scribd

See all

QA Fes 2016. Олег Никифоров. Трафик мобильных приложений: анализ и модификация

  1. 1. Киев 2016 Первый в Украине фестиваль тестирования Трафик мобильных приложений: анализ и модификация Олег Никифоров
  2. 2. whoami Трафик мобильных приложений: анализ и модификация @ddr3ams
  3. 3. Структура доклада 1. Особенности мобайл трафика 2. “REST” 3. Структура запроса / ответа 4. Что такое снифферы 5. Зачем снифферы 6. Почему Burp, чем отличается от других 7. Практика Трафик мобильных приложений: анализ и модификация @ddr3ams
  4. 4. Особенности трафика мобильных приложений - Нужны тулзы для просмотра - Очень много разных запросов (сервер, статистика, реклама, etc.) - нужно фильтровать - Отсылка запросов в фоне Трафик мобильных приложений: анализ и модификация @ddr3ams
  5. 5. Client => SOAP/REST => Server Application layer via HTTP/HTTPS Трафик мобильных приложений: анализ и модификация @ddr3ams
  6. 6. Трафик мобильных приложений: анализ и модификация @ddr3ams
  7. 7. RESTful vs. “RESTful” Трафик мобильных приложений: анализ и модификация @ddr3ams
  8. 8. Структура запроса: метод GET Трафик мобильных приложений: анализ и модификация @ddr3ams
  9. 9. Трафик мобильных приложений: анализ и модификация @ddr3ams
  10. 10. Структура запроса: метод POST Трафик мобильных приложений: анализ и модификация @ddr3ams
  11. 11. Трафик мобильных приложений: анализ и модификация @ddr3ams
  12. 12. Структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
  13. 13. Трафик мобильных приложений: анализ и модификация @ddr3ams
  14. 14. Статус коды Трафик мобильных приложений: анализ и модификация @ddr3ams
  15. 15. Что такое снифферы Сниффер - сетевой анализатор трафика, который пропускает через себя пакеты и выводит связку запрос-ответ в читабельном виде В качестве снифферов используются разные приложения: Fiddler, Charles Proxy, Burp Suite, TcpCatcher, etc. Трафик мобильных приложений: анализ и модификация @ddr3ams
  16. 16. ЗОЧЕМ??? Трафик мобильных приложений: анализ и модификация @ddr3ams
  17. 17. Зачем: мониторинг без вмешательства в данные Валидация запросов: - Url - Заголовки - Параметры (название/значение) Валидация ответов: - Заголовки - Тело (формат, структура, параметры) Симуляция time-out Трафик мобильных приложений: анализ и модификация @ddr3ams
  18. 18. Зачем: манипуляция данными Трафик мобильных приложений: анализ и модификация @ddr3ams Подмена контента в запросе: ● Url, ● Значения параметров, ● Значения заголовков Подмена контента в ответе: ● Значения параметров, ● Значения заголовков, ● Ссылки на медиа файлы (фото, аудио, видео))
  19. 19. Позитивные сценарии • Изменить user status на лету: free/paid, approved/not approved • Loadmore с произвольным количеством элементов: o быстро проверить нагрузку (загрузить много айтемов); o проверить отображение конца списка; o проверить вызов loadmore на граничных значениях Трафик мобильных приложений: анализ и модификация @ddr3ams
  20. 20. Негативные сценарии • Изменения значений параметров для обхода локальной валидации • Вызов серверных ошибок для проверки их обработки на клиенте: o пустые required fields; o ошибочные данные; o неверный токен авторизации • Вызов ошибок в аппе путем подмены ответа от сервера: o пустые параметры в ответе; o невалидные значения (string вместо int и т.д.); o невалидная структура ответа Трафик мобильных приложений: анализ и модификация @ddr3ams
  21. 21. Почему Burp? Плюсы и минусы: + Бесплатный + Scope + Удобный UI + Многофункциональный - Не позволяет менять параметры соединения - Бесплатная версия не позволяет сохранить/загрузить сессию (но позволяет делать экспорт) Трафик мобильных приложений: анализ и модификация @ddr3ams
  22. 22. Party time! Untappd - соц сеть для любителей пива: - Можно добавлять пиво - Заводить друзей - Писать отзывы Чем полезно: - Авторизация - Таблицы - Картинки - Понятное API Трафик мобильных приложений: анализ и модификация @ddr3ams
  23. 23. Плюсы использования • Возможность эмулировать тайм-ауты соединения • Возможность эмулировать серверные ошибки • Возможность манипулировать данными как в запросе, так и в ответе Трафик мобильных приложений: анализ и модификация @ddr3ams
  24. 24. Минусы использования • Если не выключить прокси когда выключен сниффер – запросы не будут работать (фон) • Увеличивается время на операцию запрос – ответ Трафик мобильных приложений: анализ и модификация @ddr3ams
  25. 25. О чем я умолчал Как настроить Burp Suite и установить сертификат Как обойти защиту от MiTM Трафик мобильных приложений: анализ и модификация @ddr3ams
  26. 26. Q&A Skype: navisnobilite Twitter: ddr3ams https://stanfy.com/blog/monitor-mobile-app-traffic-with-sniffers/ Трафик мобильных приложений: анализ и модификация @ddr3ams

×